Ce calendrier de conservation des données indique combien de temps ChefSphere OÜ (« ChefSphere ») conserve chaque catégorie de données à caractère personnel et opérationnelles, sur quel fondement juridique, et par quel mécanisme les données sont supprimées en fin de fenêtre. Il est publié en application de l'article 5(1)(e) du RGPD (limitation de la conservation) et des obligations de transparence des articles 12 à 14 du RGPD. Il complète la Politique de confidentialité point 7 — lorsqu'une durée y est décrite en proses — et prévaut sur toute déclaration contradictoire d'une version antérieure de la politique pour les nouveaux traitements à compter de la date d'effet.
| Colonne | Signification |
|---|
| Jeu de données | Données personnelles ou opérationnelles détenues, à une granularité utile pour la personne concernée. |
| Fondement juridique de la conservation | Règle statutaire ou contractuelle autorisant la conservation pendant la période indiquée. |
| Conservation | Fenêtre de conservation active sur les systèmes de production. |
| Mécanisme de suppression | Mode de retrait : tâche planifiée, purge pilotée par politique, suppression manuelle, anonymisation, ou destruction contractuelle par un sous-traitant. |
| Exception | Toute règle prolongeant ou raccourcissant la conservation par défaut (par ex. gel légal, enquête ouverte, suppression de compte initiée par l'utilisateur). |
Toutes les durées indiquées sont des plafonds. Les données sont supprimées dès qu'elles ne sont plus nécessaires à la finalité initiale, y compris avant d'atteindre le plafond.
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| E-mail, empreinte du mot de passe (bcrypt), nom d'affichage, tranche d'âge, langue, fuseau, statut de vérification | art. 6(1)(b) RGPD (contrat) | durée de vie du compte + 12 mois après clôture | tâche de suppression nocturne des comptes clôturés au-delà de la fenêtre de grâce | les dossiers couverts par un litige ouvert sont soumis à un gel légal et exclus de la tâche jusqu'à levée |
| Paramètres 2FA (secret TOTP, hachage des codes de secours) | art. 6(1)(b) + 6(1)(f) (sécurité) | durée de vie du compte | retrait synchronisé à la désactivation 2FA | — |
| Identifiants d'authentification Google, Facebook, Apple | art. 6(1)(b) | durée de vie du compte + 12 mois après clôture | tâche de suppression nocturne | — |
| Sessions / appareils actifs et expirés | art. 6(1)(f) (sécurité) | 90 jours glissants | troncature journalière | — |
| Résultats de vérification d'identité (KYC vendeur / auteur) | art. 6(1)(c) (LCB / KYC) | 5 ans après la dernière transaction marketplace | purge planifiée après la conservation LCB | le document d'identité n'est pas stocké — seuls succès/échec et identifiant de référence chez Stripe |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Publications, recettes, commentaires, réactions, graphe de suivi | art. 6(1)(b) (contrat) | durée de vie du compte + fenêtre de purge opérationnelle standard après suppression (≤ 30 jours en production ; ≤ 90 jours pour l'index) | suppression initiée par l'utilisateur + purge planifiée après clôture | contenu lié à une notification DSA art. 16 en cours est conservé pour le cycle avis / action |
| Messages directs, messages de groupe | art. 6(1)(b) | durée de la conversation ; à la clôture du compte, les messages visibles de l'autre participant subsistent tant qu'il ne supprime pas sa partie, puis retrait des deux côtés | soft-delete par message puis hard-delete 30 jours après soft-delete des deux côtés | — |
| Données lecteur ebook (marque-pages, surlignages, progression) | art. 6(1)(b) | durée de vie du compte | suppression initiée par l'utilisateur | — |
| Prix communauté, avis, notes | art. 6(1)(b) | durée de vie du compte ; des agrégats anonymisés peuvent subsister après clôture pour l'intégrité du marketplace | suppression par annonce + anonymisation des agrégats sous-jacents | les avis liés à une transaction achevée subsistent avec l'enregistrement de la transaction |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Objectifs nutritionnels, apports, eau, sommeil, entraînements | consentement explicite — art. 9(2)(a) | durée d'activation de la fonction ; suppression dans les 30 jours du retrait du consentement | action de retrait du consentement déclenchant une purge immédiate | les sauvegardes expirent dans les 30 jours |
| Contexte sanitaire des fonctions IA (préférences alimentaires pour le classement) | consentement explicite — art. 9(2)(a) | idem | idem | — |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Historique de conversation AI Chef (côté utilisateur) | art. 6(1)(b) | durée de vie du compte ; le bouton d'effacement utilisateur purgera immédiatement | effacement par l'utilisateur | — |
| Invites et sorties IA envoyés au fournisseur | art. 6(1)(b) + clause contractuelle d'interdiction d'entraînement côté fournisseur | côté fournisseur : jusqu'à 30 jours pour examen de sûreté puis suppression, selon le contrat ; côté ChefSphere aligné sur l'historique de chat | politique de conservation du fournisseur | enquête d'abus pouvant s'étendre jusqu'à 180 jours |
| Artefacts de génération pour étiquetage deepfake (art. 50(4)) | art. 6(1)(c) (conformité à l'AI Act) | 24 mois | tâche de purge planifiée | — |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Factures, reçus, rétrofacturation, remboursements, dossiers fiscaux, historique de commande | art. 6(1)(c) — Loi comptable estonienne (Raamatupidamise seadus), article 12 | 10 ans à compter de la clôture de l'exercice | bascule annuelle ; anonymisation post-conservation si besoin opérationnel | — |
| Références de moyen de paiement (4 derniers, marque, pays de facturation) | art. 6(1)(b) / 6(1)(c) | durée de vie du compte ; retrait de la table active à la clôture, conservé sur la facture 10 ans | purge planifiée | — |
| Rapports vendeurs DAC7 | art. 6(1)(c) — directive (UE) 2021/514 | 10 ans | purge planifiée | — |
| Dossiers TVA / OSS | art. 6(1)(c) — directive 2006/112/CE telle qu'appliquée en EE | 10 ans | purge planifiée | — |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Commandes, locations, suivi d'expédition | art. 6(1)(b) | 10 ans (obligation de facture) — puis anonymisation | bascule annuelle | conservation tant qu'un litige est ouvert |
| Photos, vidéos, descriptions d'annonce | art. 6(1)(b) | durée de l'annonce + 30 jours après retrait (preuve d'audit) | purge planifiée | — |
| Dossiers de traçabilité GPSR (documentation technique, instructions, avertissements, art. 9(2) du GPSR) | art. 6(1)(c) — règ. (UE) 2023/988 | 10 ans à compter de la mise sur le marché | purge planifiée | — |
| Chat marketplace, preuves de rencontre (photos, horodatages) | art. 6(1)(b) + 6(1)(f) | 3 ans par défaut ; jusqu'à 10 ans en cas d'incident GPSR ou de litige ouvert | purge planifiée | exception litige ouvert |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Décisions de modération, exposés de motifs DSA | art. 6(1)(c) — règ. (UE) 2022/2065, art. 17 + 24(5) | 3 ans (défaut) ; 5 ans pour les cas graves ; soumissions à la base de transparence DSA en agrégation indéfinie | purge planifiée ; résumés agrégés pour le rapport annuel | — |
| Signalements reçus sur [email protected] | art. 6(1)(c) + 6(1)(f) | 2 ans | purge planifiée | exception dossier ouvert |
| Dossiers DMCA / takedown CDSM, contre-avis | art. 6(1)(c) — 17 U.S.C. article 512 + règ. (UE) 2022/2065 | 3 ans ; registre des récidivistes maintenu sur la durée de la politique | purge planifiée | — |
| Suspensions au titre de l'art. 23 DSA | art. 6(1)(c) | 2 ans | purge planifiée | — |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Journaux d'accès (web, API, mobile) | art. 6(1)(f) — sécurité | 90 jours sur stockage chaud, 365 jours sur stockage froid | politique de rétention par niveaux de stockage | prolongation jusqu'à 7 ans si une violation fait l'objet d'une enquête |
| WAF et journaux DDoS | art. 6(1)(f) | 90 jours glissants | purge fournisseur | — |
| Rapports de plantage, traces, APM | art. 6(1)(f) | 90 jours | purge fournisseur | — |
| Piste d'audit de sécurité (opérations privilégiées par le personnel) | art. 6(1)(c) + 6(1)(f) | 7 ans | stockage append-only immuable ; archivage planifié | — |
| Tentatives 2FA, réinitialisations de mot de passe, événements de connexion | art. 6(1)(f) | 365 jours | purge planifiée | — |
| Jeu de données | Fondement juridique | Conservation | Mécanisme de suppression | Exception |
|---|
| Tickets d'assistance et fils e-mail | art. 6(1)(b) | 3 ans après clôture | purge planifiée | exception réclamation ouverte |
| Correspondance juridique et avec les autorités | art. 6(1)(c) | 7 ans (défaut du droit administratif estonien) | archivage immuable avec purge planifiée | — |
| Consentement marketing et historique | art. 6(1)(c) — preuve | 3 ans après retrait | purge planifiée | — |
| E-mails transactionnels (facturation, sécurité, mots de passe) | art. 6(1)(b) | 2 ans | purge fournisseur | — |
- Les bases de production sont sauvegardées par enchaînement continu de journaux de transactions et des instantanés périodiques.
- La rétention glissante des sauvegardes est de 30 jours. Un enregistrement supprimé en production est écrasé dans les sauvegardes dans ce délai.
- Les instantanés d'archivage à long terme (reprise après sinistre) sont chiffrés avec une clé distincte et conservés au plus 180 jours avant suppression ; aucune conservation personnelle de longue durée ne repose exclusivement sur les sauvegardes.
Si ChefSphere fait l'objet d'un ordre de conservation, d'une assignation, d'un MLAT, ou a connaissance d'un litige raisonnablement prévisible, le jeu de données visé par le gel est exclu des tâches de suppression tant que le gel n'est pas levé. Les gels sont gérés par l'équipe de réponse aux forces de l'ordre et consignés dans la piste d'audit (voir le point 9).
Une personne concernée peut demander confirmation que les durées de conservation ont été appliquées, par les mises en œuvre de la Politique de confidentialité point 9 (paramètres in-app, API authentifiée, ou e-mail à [email protected]). Le canal d'exercice des droits (DSAR) fournit une copie des données encore détenues avec la durée applicable à chaque catégorie.
Lorsqu'un jeu est retiré par anonymisation plutôt que par effacement matériel, le résultat est irréversible : l'enregistrement anonymisé n'est plus lié à une personne physique identifiée ou identifiable sans information supplémentaire que nous ne détenons et n'obtiendrons pas. L'anonymisation sert surtout aux signaux d'analytique, aux agrégats marketplace et aux jeux de recherche. Les données à caractère personnel sont toujours effacées (et non anonymisées) sauf si l'anonymisation est expressément préférable.
Nous mettons à jour ce calendrier lorsqu'une règle de conservation évolue — en raison du droit, d'un enseignement opérationnel, d'une nouvelle fonctionnalité, ou de la fin d'un traitement historique. Les changements prennent effet à la date d'effet indiquée dans l'en-tête ; des versions antérieures sont disponibles sur demande à [email protected].